Клиенты ИСПДн - Форум по вопросам информационной безопасности

Добрый день. Подскажите пожалуйста, у нас централизовали бухгалтерию и перешли на новое ПО (НПО Криста ЕЦИС) соответственно все 1С в учреждении убрали, базы данных хранится даже не в централизованной бухгалтерии, а в специально созданном учреждении, которое обслуживает такие бухгалтерии. Для работы теперь нужен VipNet Client и клиент программы (или web клиент). Нужно ли выделять новую ИСПДн ЕЦИС?
И аналогично, все знаем СБИС++, раньше ставилась локальная версия и у нас была ИСПДн СБИС, но теперь все перешли на СБИС онлайн, с ней что делать?

to АндрейБ

> Нужно ли выделять новую ИСПДн ЕЦИС?

Зависит от Вашего предпочтения.
ИСПДн это не строго определенный вид бухгалтерского программного обеспечения. Пункт 10 статьи 3 Федерального закона от от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (впрочем и вся нормативка по персональным данным) определяет ИСПДн как СОВОКУПНОСТЬ содержащихся в (1) базах данных (2) персональных данных и обеспечивающих их обработку (3) информационных технологий и (4) технических средств.
Не запрещается эту самую СОВОКУПНОСТЬ определять на базе одного комплекта технических средств. Например, на базе автоматизированного рабочего места (АРМ) бухгалтера. Равно как и обратное на базе одного АРМа организовать несколько ИСПДн, делив их между собой по всем видам специализированного программного обеспечения, обрабатывающим персональные данные.
Когда будите реализовывать организационные и технические меры в соответствии с "Составом и одержанием...", утвержденным приказом ФСТЭК России от 18 февраля 2013 года N 21, увидите, что большинство мер для ИСПДн на базе одного АРМа будут дублировать себя, порождаю бумажную избыточность. Здесь не так "страшна" разовая работа по разработке комплектов документов, как их дальнейшее сопровождение в ходе эксплуатации этих самых ИСПДн.

to АндрейБ

>... базы данных хранится даже не в централизованной бухгалтерии, а в специально созданном учреждении...

Раз появилось специально созданное учреждение (юр. лицо), следовательно должен быть договор между юр.лицами, определяющий права и обязанности сторон, а также:
1. это новое юр.лицо становится оператором ПДн и оно должно выполнить все требования законодательства.
2. осуществляется передача ПДн этому оператору (в трудовой договор нужно добавить соответствующие изменения чтобы не собирать согласия и не ломать голову в случае его отзыва).
3. Появляется взаимодействие, подключение к сторонней ИСПДн (нужен соответствующий регламент на подключение или приложение к договору о порядке взаимодействия)...